Campaña de Phishing Dirigida a Usuarios de Criptomonedas
Los hackers de criptomonedas están enviando cartas físicas haciéndose pasar por Trezor y Ledger con el objetivo de robar las frases de recuperación de las billeteras de criptomonedas. Esta campaña de phishing afirma que los destinatarios deben completar procedimientos obligatorios de «Verificación de Autenticación» o «Verificación de Transacción».
Detalles de la Estafa
Los atacantes crean una sensación de urgencia al establecer plazos, como el 15 de febrero de 2026 para Trezor. Las cartas, impresas en papel con un aspecto oficial, dirigen a los usuarios a escanear códigos QR que conducen a sitios web maliciosos. Estos sitios de phishing solicitan frases de recuperación de 24, 20 o 12 palabras bajo el pretexto de verificar la propiedad del dispositivo.
Consecuencias de la Phishing
Una vez que las víctimas ingresan sus frases de recuperación, esta información se transmite a los actores de amenazas a través de puntos finales de API en el backend, otorgando a los atacantes control total sobre las billeteras y fondos de las víctimas.
Experiencias de Expertos en Ciberseguridad
Ambas compañías de billeteras de hardware han sufrido violaciones de datos en los últimos años, lo que expuso la información de contacto de sus clientes. El experto en ciberseguridad Dmitry Smilyanets recibió una carta falsa de Trezor que advertía que la falta de finalización de la autenticación resultaría en la pérdida de funcionalidad del dispositivo.
«Para evitar cualquier interrupción en su acceso a Trezor Suite, por favor escanee el código QR con su dispositivo móvil y siga las instrucciones en nuestro sitio web»
, decía la carta.
Características de los Sitios de Phishing
El sitio de phishing de Trezor muestra advertencias sobre acceso limitado, errores en la firma de transacciones e interrupciones con futuras actualizaciones. Una carta similar con temática de Ledger ha circulado en X, afirmando que la Verificación de Transacción se volvería obligatoria. Las páginas de phishing permiten a los usuarios ingresar frases de recuperación en múltiples formatos, afirmando falsamente que esta información verifica la propiedad del dispositivo y habilita funciones de autenticación.
Impacto de las Campañas de Phishing
Una vez que las víctimas ingresan sus frases de recuperación, los datos se transmiten al sitio de phishing. Los atacantes importan la billetera a sus propios dispositivos y drenan los fondos. Las cartas crean una falsa urgencia al afirmar que los dispositivos comprados después del 30 de noviembre de 2025 vendrán preconfigurados, presionando a los compradores anteriores para que actúen.
Riesgos y Prevención
Las campañas de phishing por correo físico que apuntan a usuarios de billeteras de hardware siguen siendo relativamente raras. En 2021, los hackers de criptomonedas enviaron dispositivos Ledger modificados diseñados para robar frases de recuperación durante la configuración. También se informó de una campaña postal similar dirigida a usuarios de Ledger en abril. Cualquiera que posea la frase de recuperación de una billetera obtiene control total sobre ella y sobre todos los fondos.
Trezor y Ledger nunca piden a los usuarios que ingresen, escaneen, suban o compartan sus frases de recuperación a través de ningún canal. Estas frases solo deben ingresarse directamente en los dispositivos de billetera de hardware al restaurar billeteras, y nunca en computadoras, dispositivos móviles o sitios web. Los criterios de selección para las cartas físicas siguen siendo poco claros; sin embargo, las violaciones de datos pasadas de ambas compañías expusieron las direcciones de correo y la información de contacto de los clientes a posibles atacantes.
